A P P E N D I X C 許可および認証用の外部サーバの設定 この付録では、ASA で AAA をサポートするための外部 LDAP、RADIUS、または TACACS+ サーバ の設定方法について説明します。外部サーバを使用するように ASA を設定する前に、正しい ASA 認証 属性でサーバを設定し、それらの属性のサブセットから個々のユーザに対する個別の許可を割り当てる 必要があります。 この付録では、次の項目について説明します。 • 「権限および属性のポリシー実施の概要」(P.C-1) • 「外部 LDAP サーバの設定」(P.C-2) • 「外部 RADIUS サーバの設定」(P.C-27) • 「外部 TACACS+ サーバの設定」(P.C-39) 権限および属性のポリシー実施の概要 ASA は、ユーザ許可属性(ユーザ権利またはユーザ権限とも呼ばれる)を VPN 接続に適用するための いくつかの方法をサポートしています。ユーザ属性を、ASA のダイナミック アクセス ポリシー (DAP)から、外部認証サーバや許可 AAA サーバ(RADIUS または LDAP)から、ASA のグループ ポリシーから、またはこれら 3 つのすべてから取得できるように ASA を設定できます。 ASA がすべてのソースから属性を受信すると、それらの属性は評価および集約され、ユーザ ポリシー に適用されます。DAP、AAA サーバ、またはグループ ポリシーから取得した属性の間で衝突がある場 合、DAP から取得した属性が常に優先されます。 ASA は、次の順序で属性を適用します(図 C-1 を参照)。 1. ASA の DAP 属性:バージョン 8.0(2) に導入され、これらの属性が最も優先されます。DAP に ブックマークまたは URL リストを設定した場合、そのリストはグループ ポリシーに設定された ブックマークまたは URL リストよりも優先されます。 2. AAA サーバのユーザ属性:ユーザ認証または許可が成功すると、AAA サーバはこれらの属性を 返します。これらの属性を、ASA のローカル AAA データベースの個々のユーザに設定されている 属性(ASDM のユーザ アカウント)と混同しないでください。 3. ASA で設定されたグループ ポリシー:RADIUS サーバがユーザに対して RADIUS CLASS 属性 IETF-Class-25(OU=group-policy)の値を返す場合、ASA は、ユーザを同じ名前のグループ ポリ シーに配置し、サーバから返されないそのグループ ポリシーのすべての属性を適用します。 LDAP サーバでは、任意の属性名を使用してセッションのグループ ポリシーを設定できます。 ASA で設定した LDAP 属性マップは、LDAP 属性を Cisco 属性 IETF-Radius-Class にマッピング します。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-1 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 4. 接続プロファイル(CLI のトンネル グループと呼ばれる)で割り当てられたグループ ポリシー: 接続プロファイルには、接続の事前設定と、認証前にユーザに適用されるデフォルトのグループ ポリシーが含まれています。ASA に接続するすべてのユーザは、最初にこのグループに所属しま す。このグループでは、DAP で不足しているすべての属性、サーバから返されるユーザ属性、ま たはユーザに割り当てられるグループ ポリシーが提供されます。 5. ASA で割り当てられたデフォルトのグループ ポリシー(DfltGrpPolicy):システムのデフォルト 属性は、DAP、ユーザ属性、グループ ポリシー、または接続プロファイルで不足している値を提 供します。 図 C-1 ポリシー実施フロー 外部 LDAP サーバの設定 VPN 3000 コンセントレータと ASA/PIX 7.0 ソフトウェアでは、認証作業に Cisco LDAP スキーマが 必要でした。バージョン 7.1.x 以降では、ASA は、ネイティブ LDAP スキーマを使用して認証および 許可を行うため、Cisco スキーマは必要とされません。 許可(権限ポリシー)の設定は、LDAP 属性マップを使用して行います。例については、「Active Directory/LDAP VPN リモート アクセス許可の例」(P.C-16)を参照してください。 この項では、LDAP サーバの構造、スキーマ、および属性について説明します。次の項目を取り上げ ます。 • 「LDAP 操作のための ASA の構成」(P.C-3) • 「ASA の LDAP コンフィギュレーションの定義」(P.C-5) • 「Active Directory/LDAP VPN リモート アクセス許可の例」(P.C-16) 上記のプロセスは、使用する LDAP サーバのタイプによって異なります。 (注) LDAP プロトコルの詳細については、RFC 1777、2251、および 2849 を参照してください。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-2 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 LDAP 操作のための ASA の構成 この項では、LDAP 階層、および ASA の LDAP サーバへの認証済みバインディング内で検索する方法 について説明します。 • 「LDAP 階層の検索」(P.C-3) • 「ASA と LDAP サーバのバインディング」(P.C-4) LDAP コンフィギュレーションは、組織の論理階層が反映されたものにする必要があります。たとえ ば、Example Corporation という企業の従業員 Employee1 を例に考えてみます。Employee1 はエンジ ニアリング グループに従事しています。この企業の LDAP 階層は 1 つ以上のレベルを持つことができ ます。Employee1 を Example Corporation のメンバと想定して、シングルレベルの階層をセットアッ プすることを決定できます。あるいは、マルチレベルの階層をセットアップすることもできます。この 場合、Employee1 は Engineering 部門のメンバであると想定され、この部門は People と呼ばれる組織 ユニットのメンバであり、Example Corporation のメンバです。マルチレベルの階層の例については、 図 C-2 を参照してください。 マルチレベル階層はより細かく設定できますが、シングルレベル階層の方が、高速で検索結果が戻りま す。 図 C-2 マルチレベルの LDAP 階層 ǨȳǿȸȗȩǤǺ LDAP ᨞ޖ ȫȸȈ/ɥˮ dc=ExampleCorp, dc=com ⨨ ࢚ࣥࢪࢽࣜࣥࢢ cn=࣮ࣘࢨ1 ࣐࣮ࢣࢸࣥࢢ cn=࣮ࣘࢨ2 cn=࣮ࣘࢨ3 OU=ኵጢȦȋȃȈ HR cn=࣮ࣘࢨ4 ǰȫȸȗ/ᢿᧉ ȦȸǶ 330368 ࣓ࣥࣂ࣮ LDAP 階層の検索 ASA では、LDAP 階層内での検索を調整できます。ASA に次の 3 種類のフィールドを設定すると、 LDAP 階層での検索開始場所とその範囲、および検索する情報のタイプを定義できます。これらの フィールドを組み合わせて使用することにより、ユーザの権限が含まれている部分だけを検索するよう に階層の検索を限定できます。 • LDAP Base DN は、サーバが ASA から許可要求を受信したときにユーザ情報の検索を開始する LDAP 階層を定義します。 • Search Scope では、LDAP 階層の検索範囲を定義します。この指定では、LDAP Base DN よりも かなり下位のレベルまで検索します。サーバが行う検索を直下の 1 レベルだけにするか、サブツ リー全体を検索するかを選択できます。シングルレベルの検索の方が高速ですが、サブツリー検索 の方が広範囲に検索できます。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-3 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 • Naming Attribute では、LDAP サーバのエントリを一意に識別する RDN を定義します。一般的な 名前属性には、cn(通常名)、sAMAccountName、および userPrincipalName を含めることができ ます。 図 C-2 では、Example Corporation 用の LDAP 階層の例を示します。この階層が指定されると、複数 の方法で検索を定義できます。表 C-1 は、2 種類の検索のコンフィギュレーションの例を示します。 最初のコンフィギュレーションの例では、Employee1 が必要な LDAP 許可を得て自身の IPSec トンネ ル接続を確立すると、ASA は LDAP サーバに検索要求を送信します。この要求では、サーバが Employee1 を代行して Engineering グループの検索を実行することを指定します。この検索は短時間 でできます。 2 番目のコンフィギュレーションの例では、ASA は、Employee1 を代行してサーバが Example Corporation 全体を検索するよう指示する検索要求を送信します。この検索には時間がかかります。 表 C-1 検索コンフィギュレーションの例 No. LDAP Base DN 検索範囲 名前属性 1 group= Engineering,ou=People,dc=ExampleCorporation, dc=com 1 レベル 2 dc=ExampleCorporation,dc=com サブツリー cn=Employee1 検索が高速 cn=Employee1 検索に時間がかか 結果 る ASA と LDAP サーバのバインディング 一部の LDAP サーバ(Microsoft Active Directory サーバなど)は、ASA に対し、他のあらゆる LDAP 操作の要求を受け入れる前に、認証済みバインディングを介してハンドシェイクを確立することを要求 します。ASA は、ユーザが検索する前に、ログイン認定者名(DN)とログイン パスワードを使用し て、LDAP サーバとの信頼関係(バインド)を築きます。Login DN は、管理者がバインディングに使 用する LDAP サーバのユーザ レコードを表します。 バインディング時、ASA は、サーバに対する認証を Login DN とログイン パスワードを使用して行い ます。Microsoft Active Directory の読み取り専用操作(認証、許可、グループ検索など)を行うとき、 ASA では特権の低い Login DN でバインドできます。たとえば、Login DN には、AD の「Member Of」の指定が Domain Users の一部であるユーザを指定することができます。VPN のパスワード管理 書き込み操作では、Login DN にはより高い特権が必要となり、AD の Account Operators グループの 一部を指定する必要があります。Microsoft Active Directory グループの検索(「MemberOf retrieval」 とも呼ばれる)ASA バージョン 8.0.4 に追加されました。 Login DN の例を次にします。次のエントリがあります。 cn=Binduser1,ou=Admins,ou=Users,dc=company_A,dc=com 読み取りと書き込み操作に対する特定の Login DN 要件については、LDAP アドミニストレータ ガイ ドを参照してください。 ASA は次の機能をサポートします。 • 暗号化されていないパスワードを使用し、デフォルトポート 389 を使用する簡易 LDAP 認証。デ フォルトのポートの代わりに他のポートも使用できます。 • デフォルト ポート 636 を使用するセキュアな LDAP(LDAP-S)。デフォルトのポートの代わりに 他のポートも使用できます。 • Simple Authentication and Security Layer(SASL)MD5 • SASL Kerberos ASA は匿名認証をサポートしていません。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-4 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 (注) LDAP クライアントとして、ASA は、匿名のバインドまたは要求の送信をサポートしていません。 ASA の LDAP コンフィギュレーションの定義 この項では、LDAP AV-pair 属性の構文の定義方法について説明します。内容は次のとおりです。 • 「LDAP 許可でサポートされている Cisco 属性」(P.C-5) • 「Cisco-AV-Pair 属性の構文」(P.C-13) • 「Cisco-AV-Pair の ACL 例」(P.C-14) (注) ASA は、数値の ID ではなく属性名に基づいて LDAP 属性を使用します。一方、RADIUS 属性には、 名前ではなく数値の ID が使用されます。 許可では、権限または属性を使用するプロセスを参照します。認証サーバまたは許可サーバとして定義 されている LDAP サーバは、権限または属性が設定されている場合はこれらを使用します。 ソフトウェア バージョン 7.0 の LDAP 属性には、cVPN3000 プレフィックスが含まれています。ソフ トウェア バージョン 7.1 以降では、このプレフィックスは削除されています。 LDAP 許可でサポートされている Cisco 属性 この項では、ASA 5500、VPN 3000 コンセントレータ、および PIX 500 シリーズの ASA で使用され る属性の詳細なリスト(表 C-2 を参照)を示します。この表には、これらのデバイスを組み合わせた ネットワーク構成に役立つ VPN 3000 コンセントレータおよび PIX 500 シリーズの ASA の属性サポー ト情報が含まれています。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-5 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 属性名 VPN 3000 ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 Access-Hours Y Y Y String Allow-Network-Extension- Mode Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル Authenticated-User-Idle- Timeout Y Y Y Integer シングル 1 ~ 35791394 分 Authorization-Required Y Integer シングル 0 = しない 1 = する Authorization-Type Y Integer シングル 0 = なし 1 = RADIUS 2 = LDAP Banner1 Y Y Y String シングル クライアントレス SSL VPN、クラ イアント SSL VPN、および IPSec クライアントのバナー文字列。 Banner2 Y Y Y String シングル クライアントレス SSL VPN、クラ イアント SSL VPN、および IPSec クライアントのバナー文字列。 Cisco-AV-Pair Y Y Y String マルチ 次の形式のオクテット文字列: シングル time-range の名前 (Business-Hours など) [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 詳細については「Cisco-AV-Pair 属 性の構文」(P.C-13)を参照してく ださい。 Cisco-IP-Phone-Bypass Y Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Cisco-LEAP-Bypass Y Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Client-Intercept-DHCPConfigure-Msg Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル Client-Type-Version-Limiting Y Y Y String IPSec VPN クライアントのバー シングル ジョン番号を示す文字列 Confidence-Interval Y Y Y Integer シングル 10 ~ 300 秒 DHCP-Network-Scope Y Y Y String シングル IP アドレス DN-Field Y Y Y String シングル 有効な値:UID、OU、O、CN、L、 SP、C、EA、T、N、GN、SN、I、 GENQ、DNQ、SER、 use-entire-name。 Firewall-ACL-In Y Y String シングル アクセス リスト ID Firewall-ACL-Out Y Y String シングル アクセス リスト ID Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-6 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 VPN 3000 Group-Policy ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 Y String Y シングル リモート アクセス VPN セッション のグループ ポリシーを設定します。 バージョン 8.2 以降では、 IETF-Radius-Class の代わりにこの 属性を使用します。次の 3 つの形式 のいずれかを使用できます。 • グループ ポリシー名 • OU= グループ ポリシー名 • OU= グループ ポリシー名 : IE-Proxy-Bypass-Local Boolean シングル 0= ディセーブル 1= イネーブル IE-Proxy-Exception-List String DNS ドメインのリスト。エントリ は改行文字シーケンス(\n)で区切 シングル る必要があります。 IE-Proxy-Method Y Y Y Integer シングル IE-Proxy-Server Y Y Y Integer シングル IP アドレス IETF-Radius-Class Y Y Y シングル リモート アクセス VPN セッション のグループ ポリシーを設定します。 バージョン 8.2 以降では、 Group-Policy 属性の使用をお勧め します。次の 3 つの形式のいずれか を使用できます。 1 = プロキシ設定を変更しない 2 = プロキシを使用しない 3 = 自動検出 4 = ASA 設定を使用する • グループ ポリシー名 • OU= グループ ポリシー名 • OU= グループ ポリシー名 : IETF-Radius-Filter-Id Y Y Y String シングル ASA で定義されたアクセス リスト 名。これらの設定は、VPN リモー ト アクセス クライアント、IPSec クライアント、および SSL クライ アントの設定に適用されます。 IETF-Radius-Framed-IP-Address Y Y Y String シングル IP アドレス。これらの設定は、 VPN リモート アクセス クライアン ト、IPSec クライアント、および SSL クライアントの設定に適用さ れます。 IETF-Radius-Framed-IP-Netmask Y Y Y String シングル IP アドレス マスク。これらの設定 は、VPN リモート アクセス クライ アント、IPSec クライアント、およ び SSL クライアントの設定に適用 されます。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-7 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 VPN 3000 ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 IETF-Radius-Idle-Timeout Y Y Y Integer シングル 秒 IETF-Radius-Service-Type Y Y Y Integer シングル 1 = Login 2 = Framed 5 = リモート アクセス 6 = Administrative 7 = NAS Prompt IETF-Radius-Session-Timeout Y Y Y Integer シングル 秒 IKE-Keep-Alives Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル IPsec-Allow-Passwd-Store Y Y Y Boolean シングル IPsec-Authentication Y Y Y Integer 0 = ディセーブル 1 = イネーブル 0 = なし 1 = RADIUS 2 = LDAP(許可のみ) 3 = NT ドメイン 4 = SDI(RSA) 5 = 内部 6 = RADIUS での Expiry 7 = Kerberos または Active Directory IPsec-Auth-On-Rekey Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル IPsec-Backup-Server-List Y Y Y String シングル サーバ アドレス(スペース区切り) IPsec-Backup-Servers Y Y Y String シングル 1 = クライアントが設定したリスト を使用する 2 = クライアント リストをディセー ブルにして消去する 3 = バックアップ サーバ リストを使 用する IPsec-Client-Firewall-Filter- Name Y String シングル クライアントにファイアウォール ポリシーとして配信するフィルタの 名前を指定します。 IPsec-Client-Firewall-FilterOptional Y Y Y Integer シングル 0 = 必須 1 = オプション IPsec-Default-Domain Y Y Y String シングル Y Y String シングル String Y Y Integer シングル 1 = 必須 2 = ピア証明書でサポートされる場 IPsec-Extended-Auth-On-Rekey IPsec-IKE-Peer-ID-Check Y シングル クライアントに送信する 1 つのデ フォルト ドメイン名を指定します (1 ~ 255 文字)。 合 3 = チェックしない IPsec-IP-Compression Y Y Y Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-8 Integer シングル 0 = ディセーブル 1 = イネーブル 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 VPN 3000 ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 IPsec-Mode-Config Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル IPsec-Over-UDP Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル IPsec-Over-UDP-Port Y Y Y Integer シングル 4001 ~ 49151、デフォルトは 10000。 IPsec-Required-Client-Firewall- Y Y Y Integer シングル String シングル セキュリティ アソシエーションの名 前 クライアントに送信するセカンダリ ドメイン名のリストを指定します (1 ~ 255 文字)。 機能 0 = なし 1 = リモート FW Are-You-There (AYT)で定義されているポリシー 2 = Policy pushed CPP 4 = サーバからのポリシー IPsec-Sec-Association Y IPsec-Split-DNS-Names Y Y Y String シングル IPsec-Split-Tunneling-Policy Y Y Y Integer シングル 0 = すべてをトンネリング 1 = スプリット トンネリング 2 = ローカル LAN を許可 IPsec-Split-Tunnel-List Y Y Y String シングル スプリット トンネルの包含リスト を記述したネットワークまたはアク セス リストの名前を指定します。 IPsec-Tunnel-Type Y Y Y Integer シングル 1 = LAN-to-LAN 2 = リモート アクセス IPsec-User-Group-Lock Y Boolean シングル 0 = ディセーブル 1 = イネーブル L2TP-Encryption Y Integer ビットマップ: シングル 1 = 暗号化が必要 2 = 40 ビット 4 =128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ステー トレスが必要 L2TP-MPPC-Compression Y MS-Client-Subnet-Mask Y Y PFS-Required Y Y Port-Forwarding-Name Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Y String シングル IP アドレス Y Boolean シングル 0 = しない 1 = する String 名前の文字列(「Corporate-Apps」 など) シングル Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-9 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 VPN 3000 PPTP-Encryption Y ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 Integer シングル ビットマップ: 1 = 暗号化が必要 2 =40 ビット 4 =128 ビット 8 = ステートレスが必要 例: 15 = 40/128 ビットで暗号化 / ステー トレスが必要 PPTP-MPPC-Compression Y Primary-DNS Y Y Primary-WINS Y Y Integer シングル Y String シングル 0 = ディセーブル 1 = イネーブル IP アドレス Y String シングル IP アドレス Integer シングル ユーザ名の場合、0 ~ 15 Integer シングル 1 = シスコ(Cisco Integrated Client Privilege-Level Required-ClientFirewall-Vendor-Code Y Y Y を使用) Required-Client-FirewallDescription Y Y Y String シングル 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = シスコ(Cisco Intrusion Prevention Security Agent を使用) — Required-Client-FirewallProduct-Code Y Y Y Integer シングル シスコ製品: 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 製品: 1 = BlackIce Defender/Agent Sygate 製品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent Require-HW-Client-Auth Y Y Y Boolean シングル 0 = ディセーブル 1 = イネーブル Require-Individual-User-Auth Y Y Y Integer シングル Secondary-DNS Y Y Y String シングル 0 = ディセーブル 1 = イネーブル IP アドレス Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-10 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 Secondary-WINS VPN 3000 Y ASA PIX Y Y SEP-Card-Assignment 構文 / タ シングルまた イプ はマルチ値 有効な値 String シングル IP アドレス Integer シングル 未使用 シングル 0 ~ 2147483647 Simultaneous-Logins Y Y Y Integer Strip-Realm Y Y Y Boolean シングル TACACS-Authtype Y Y Y Integer シングル 0 = ディセーブル 1 = イネーブル — TACACS-Privilege-Level Y Y Y Integer シングル — Y Y String シングル トンネル グループの名前または 「none」 Y Y Integer シングル 1 = PPTP 2 = L2TP 4 = IPSec(IKEv1) 8 = L2TP/IPSec 16 = WebVPN. 32 = SVC 64 = IPsec(IKEv2) 8 および 4 は相互排他値 (0 ~ 11、16 ~ 27、32 ~ 43、48 ~ 59 は有効値)。 Tunnel-Group-Lock Tunneling-Protocols Y Use-Client-Address Y Boolean シングル 0 = ディセーブル 1 = イネーブル User-Auth-Server-Name Y String シングル IP アドレスまたはホスト名 User-Auth-Server-Port Y Integer シングル サーバ プロトコルのポート番号 User-Auth-Server-Secret Y String シングル サーバのパスワード Y String シングル Webtype アクセス リスト名 Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-ACL-Filters WebVPN-Apply-ACL-Enable Y バージョン 8.0 以降では、この属性 は必要とされません。 WebVPN-Citrix-Support-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル バージョン 8.0 以降では、この属性 は必要とされません。 WebVPN-Enable-functions Integer シングル 使用しない(廃止) WebVPN-Exchange-ServerAddress String シングル 使用しない(廃止) WebVPN-Exchange-ServerNETBIOS-Name String シングル 使用しない(廃止) WebVPN-File-Access-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-BrowsingEnable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-11 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) VPN 3000 ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 WebVPN-File-Server-Entry- Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-Forwarded-Ports Y String シングル ポート転送リスト名 Y String シングル URL(http://www.example.com な 属性名 WebVPN-Homepage Y ど) WebVPN-Macro-SubstitutionValue1 Y Y String シングル 例については、次の URL にある 『SSL VPN Deployment Guide』を参 照してください。 http://supportwiki.cisco.com/View Wiki/index.php/Cisco_ASA_5500_ SSL_VPN_Deployment_Guide%2C _Version_8.x WebVPN-Macro-SubstitutionValue2 Y Y String シングル 例については、次の URL にある 『SSL VPN Deployment Guide』を参 照してください。 http://supportwiki.cisco.com/View Wiki/index.php/Cisco_ASA_5500_ SSL_VPN_Deployment_Guide%2C _Version_8.x WebVPN-Port-ForwardingAuto-Download-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding- Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-ForwardingExchange-Proxy-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-Port-ForwardingHTTP-Proxy-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Y String シングル SSO サーバの名前(1 ~ 31 文字) シングル 0 = ディセーブル n = デッドピア検出値(30 ~ 3600 WebVPN-Single-Sign-OnServer-Name WebVPN-SVC-Client-DPD Y Y Integer WebVPN-SVC-Compression Y Y Integer シングル 0 = なし 1 = デフレート圧縮 WebVPN-SVC-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-SVC-Gateway-DPD Y Y Integer シングル 0 = ディセーブル n = デッドピア検出値(30 ~ 3600 WebVPN-SVC-Keepalive Y Y Integer 秒) 秒) シングル 0 = ディセーブル n = キープアライブ値(15 ~ 600 秒) Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-12 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-2 LDAP 許可で ASA がサポートする Cisco 属性 (続き) 属性名 VPN 3000 ASA PIX 構文 / タ シングルまた イプ はマルチ値 有効な値 WebVPN-SVC-Keep-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-SVC-Rekey-Method Y Y Integer シングル 0 = なし 1 = SSL 2 = 新規トンネル 3 = 任意(SSL に設定) WebVPN-SVC-Rekey-Period Y Y Integer シングル 0 = ディセーブル n = 分単位の再試行間隔 (4 ~ 10080 分) WebVPN-SVC-Required-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル WebVPN-URL-Entry-Enable Y Y Integer シングル 0 = ディセーブル 1 = イネーブル Y String シングル URL リスト名 WebVPN-URL-List Cisco-AV-Pair 属性の構文 Cisco Attribute Value(AV)ペア(ID 番号 26/9/1)を使用して、(Cisco ACS のような)RADIUS サーバから、または LDAP 属性マップ経由で LDAP サーバから、アクセス リストを適用できます。 Cisco-AV-Pair ルールの構文は次のとおりです。 [Prefix] [Action] [Protocol] [Source] [Source Wildcard Mask] [Destination] [Destination Wildcard Mask] [Established] [Log] [Operator] [Port] 表 C-3 で構文のルールについて説明します。 表 C-3 AV-Pair 属性の構文ルール フィールド 説明 Action deny、permit など、ルールが一致した場合に実行するアクション。 Destination パケットを受信するネットワークまたはホスト。P アドレス、ホスト名、 またはキーワード any で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。 Destination Wildcard Mask 宛先アドレスに適用されるワイルドカード マスク。 Log FILTER ログ メッセージを生成します。重大度レベル 9 のイベントを生成 するには、このキーワードを使用する必要があります。 Operator 論理演算子:greater than、less than、equal to、not equal to。 Port TCP または UDP ポートの番号(0 ~ 65535)。 Prefix (例:ip:inacl#1=(標準アクセス リスト用)または AV ペアの固有識別子。 webvpn:inacl#(クライアントレス SSL VPN アクセス リスト用))。この フィールドは、フィルタが AV ペアとして送信された場合にだけ表示され ます。 Protocol IP プロトコルの番号または名前。0 ~ 255 の整数値、または icmp、igmp、 ip、tcp、udp のいずれかのキーワード。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-13 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-3 AV-Pair 属性の構文ルール (続き) フィールド 説明 Source パケットを送信するネットワークまたはホスト。P アドレス、ホスト名、 またはキーワード any で指定します。IP アドレスを使用する場合、続いて Source Wildcard Mask を指定する必要があります。ASA がソースまたは プロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。 Source Wildcard Mask 送信元アドレスに適用されるワイルドカード マスク。ASA がソースまた はプロキシの役割を果たすため、このフィールドはクライアントレス SSL VPN には適用されません。 Cisco-AV-Pair の ACL 例 表 C-4 に Cisco-AV-Pair の例を示し、その結果の許可または拒否のアクションについて説明します。 (注) inacl# の各 ACL # は固有である必要があります。ただし、これらはシーケンシャル(たとえば、1、2、 3、4)である必要はありません。つまり、5、45、135 のように設定できます。 表 C-4 Cisco-AV-Pair の例とアクションの許可または拒否 Cisco-AV-Pair の例 アクションの許可または拒否 ip:inacl#1=deny ip 10.155.10.0 0.0.0.255 10.159.2.0 0.0.0.255 log フルトンネル IPsec または SSL VPN クライアントを 使用した、2 つのホスト間の IP トラフィックを許可 します。 ip:inacl#2=permit TCP any host 10.160.0.1 eq 80 log フルトンネル IPsec または SSL VPN クライアントの みを使用した、すべてのホストからポート 80 の特定 のホストへの TCP トラフィックを許可します。 webvpn:inacl#1=permit url http://www.example.com webvpn:inacl#2=deny url smtp://server webvpn:inacl#3=permit url cifs://server/share 指定 URL へのクライアントレス SSL VPN トラ フィックを許可し、特定サーバへの SMTP トラ フィックを拒否し、指定サーバへのファイル共有ア クセス(CIFS)を許可します。 webvpn:inacl#1=permit tcp 10.86.1.2 eq 2222 log webvpn:inacl#2=deny tcp 10.86.1.2 eq 2323 log 非デフォルト ポートの 2323 で Telnet アクセスを拒 否し、非デフォルト ポートの 2222 で SSH アクセス を許可します。そうしない場合は、その他のアプリ ケーション トラフィックが、クライアントレス SSL VPN でそれらのポートを使用して流れます。 webvpn:inacl#1=permit url ssh://10.86.1.2 webvpn:inacl#35=permit tcp 10.86.1.5 eq 22 log webvpn:inacl#48=deny url telnet://10.86.1.2 webvpn:inacl#100=deny tcp 10.86.1.6 eq 23 デフォルト ポート 22 へのクライアントレス SSL VPN SSH アクセスを許可し、ポート 23 への Telnet アクセスを拒否します。この例では、これらの ACL で実施される Telnet または SSH Java プラグインを使 用していることを前提としています。 ACL でサポートされている URL タイプ サーバのワイルド カード、またはポートが含まれる部分的な URL です。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-14 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 次の URL タイプがサポートされています。 すべての URL https:// post:// ssh:// cifs:// ica:// rdp:// telnet:// citrix:// imap4:// rdp2:// vnc:// citrixs:// ftp:// smart-tunnel:// http:// pop3:// smtp:// (注) この表に一覧表示した URL は、関連するプラグインがイネーブルに設定されているかどうか により、CLI または ASDM のメニューに表示されます。 Cisco-AV-Pair(ACL)使用のガイドライン • リモート IPSec トンネルおよび SSL VPN Client(SVC)トンネルにアクセス リストを適用するに は、Cisco-AV-Pair エントリにプレフィックス ip:inacl# を追加して使用してください。 • SSL VPN クライアントレス(ブラウザモード)トンネルにアクセス リストを適用するには、 Cisco-AV-Pair エントリにプレフィックス webvpn:inacl# を追加して使用してください。 • Webtype ACL では ASA がソースとなるため、ソースを指定しないでください。 表 C-5 に、Cisco-AV-Pair 属性のトークンの一覧を示します。 表 C-5 ASA がサポートするトークン トークン 構文のフィール ド 説明 ip:inacl#Num= 該当なし(識別 子) (Num は固有の整数)。AV ペアのアクセス コントロール リストをすべて開始し ます。リモート IPSec トンネルと SSL VPN(SVC)トンネルにアクセス リスト を適用します。 webvpn:inacl#Num= 該当なし(識別 子) (Num は固有の整数)。クライアントレス SSL AV ペアのアクセス コントロール リストをすべて開始します。クライアントレス(ブラウザモード)トンネルにア クセス リストを適用します。 deny Action アクションを拒否します。(デフォルト) permit Action アクションを許可します。 icmp Protocol インターネット制御メッセージ プロトコル(ICMP) 1 Protocol インターネット制御メッセージ プロトコル(ICMP) IP Protocol インターネット プロトコル(IP) 0 Protocol インターネット プロトコル(IP) TCP Protocol 伝送制御プロトコル(TCP) 6 Protocol 伝送制御プロトコル(TCP) UDP Protocol ユーザ データグラム プロトコル(UDP) 17 Protocol ユーザ データグラム プロトコル(UDP) any Hostname すべてのホストにルールを適用します。 host Hostname ホスト名を示す任意の英数字文字列。 log Log イベントが発生すると、フィルタ ログ メッセージが表示されます。 (permit and log または deny and log の場合と同様)。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-15 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-5 ASA がサポートするトークン (続き) トークン 構文のフィール ド 説明 lt Operator 値より小さい gt Operator 値より大きい eq Operator 値と等しい neq Operator 値と等しくない range Operator この範囲に含まれる。range の後に 2 つの値を続けます。 Active Directory/LDAP VPN リモート アクセス許可の例 この項では、Microsoft Active Directory サーバを使用している ASA で認証および許可を設定するため の手順の例を示します。説明する項目は次のとおりです。 • 「ユーザベースの属性ポリシーの適用」(P.C-16) • 「特定のグループ ポリシーへの LDAP ユーザの配置」(P.C-18) • 「AnyConnect トンネルへのスタティック IP アドレスの割り当て」(P.C-20) • 「ダイヤルインの許可または拒否アクセスの適用」(P.C-22) • 「ログイン時間と Time-of-Day ルールの適用」(P.C-25) その他の設定例については、Cisco.com にある次のテクニカル ノートを参照してください。 • 『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』 http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d .shtml • 『PIX/ASA 8.0: Use LDAP Authentication to Assign a Group Policy at Login』 (http://www.cisco.com/en/US/partner/products/ps6120/products_configuration_example09186a0 0808d1a7c.shtml) ユーザベースの属性ポリシーの適用 すべての標準 LDAP 属性は、予約済みのベンダー固有属性(VSA)にマッピングできます。同様に、1 つ以上の LDAP 属性を 1 つ以上の Cisco LDAP 属性にマッピングできます。 次の例では、AD の LDAP サーバで設定されたユーザに対し、簡単なバナーを適用するように ASA を 設定します。サーバ上で [General] タブの [Office] フィールドを使用してバナー テキストを入力しま す。このフィールドでは、physicalDeliveryOfficeName という名前の属性を使用します。ASA で、 physicalDeliveryOfficeName を Cisco 属性 Banner1 にマッピングする属性マップを作成します。認証 の間に、ASA はサーバから physicalDeliveryOfficeName の値を取得し、その値を Cisco 属性 Banner1 にマッピングしてユーザにバナーを表示します。 この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介 して接続します。 AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-16 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 ステップ 1 ユーザを右クリックします。 [Properties] ダイアログボックスが表示されます(図 C-3 を参照)。 ステップ 2 [General] タブをクリックして、[Office] フィールドにバナー テキストを入力します。このフィールド は、AD/LDAP 属性 physicalDeliveryOfficeName を使用します。 図 C-3 ステップ 3 LDAP User Configuration ASA に、LDAP 属性マップを作成します。 Banner マップを作成し、AD/LDAP 属性である physicalDeliveryOfficeName を Cisco 属性である Banner1 にマッピングする例を次に示します。 hostname(config)# ldap attribute-map Banner hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Banner1 ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モー ドを開始し、ステップ 3 で作成した属性マップ Banner を関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map Banner ステップ 5 バナーの適用をテストします。 クライアントレス SSL 接続と、ユーザ認証後に属性マップ経由で適用されたバナーを次の例に示しま す(図 C-4 を参照)。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-17 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-4 表示されたバナー 特定のグループ ポリシーへの LDAP ユーザの配置 次の例では、AD の LDAP サーバの User1 を、ASA の特定のグループ ポリシーに対して認証します。 サーバで、[Organization] タブの [Department] フィールドを使用して、グループ ポリシーの名前を入 力します。次に、属性マップを作成し、[Department] を Cisco 属性である IETF-Radius-Class にマッ ピングします。認証の間に、ASA はサーバから [Department] の値を取得し、その値を IETF-Radius-Class にマッピングして User1 をグループ ポリシーに配置します。 この例は、IPSec VPN クライアント、AnyConnect SSL VPN クライアント、またはクライアントレス SSL VPN などの接続タイプに適用されます。例では、User1 はクライアントレス SSL VPN 接続を介 して接続します。 AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。 ステップ 1 ユーザを右クリックします。 [Properties] ダイアログボックスが表示されます(図 C-5 を参照)。 ステップ 2 [Organization] タブをクリックして、[Department] フィールドに Group-Policy-1 と入力します。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-18 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-5 ステップ 3 AD の LDAP の [Department] 属性 ステップ 1 に示した LDAP コンフィギュレーションの属性マップを定義します。 次に、シスコ属性 IETF-Radius-Class に AD 属性である Department をマッピングする例を示します。 hostname(config)# ldap attribute-map group_policy hostname(config-ldap-attribute-map)# map-name Department IETF-Radius-Class ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モー ドを開始し、ステップ 3 で作成した group_policy 属性マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map group_policy ステップ 5 ASA で新しい group-policy を追加し、ユーザに割り当てるために必要なポリシー属性を設定します。 この例では、サーバの [Department] フィールドに入力された Group-policy-1 を作成しました。 hostname(config)# group-policy Group-policy-1 external server-group LDAP_demo hostname(config-aaa-server-group)# ステップ 6 ユーザが必要とする VPN 接続を確立し、セッションが、Group-Policy1 からの属性(およびデフォル ト group-policy からの適用可能なすべての属性)を継承していることを確認します。 ステップ 7 特権 EXEC モードから debug ldap 255 コマンドをイネーブルにすることで、ASA とサーバ間の通信 をモニタすることができます。次は、このコマンドの出力例であり、キー メッセージを提供するため に編集されています。 [29] [29] [29] [29] Authentication successful for user1 to 10.1.1.2 Retrieving user attributes from server 10.1.1.2 Retrieved Attributes: department: value = Group-Policy-1 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-19 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 [29] mapped to IETF-Radius-Class: value = Group-Policy-1 AnyConnect トンネルへのスタティック IP アドレスの割り当て この例では、AnyConnect クライアント ユーザ Web1 がスタティック IP アドレスを受信するように設 定します。AD の LDAP サーバで、[Dialin] タブの [Assign Static IP Address] フィールドにアドレスを 入力します。このフィールドでは、msRADIUSFramedIPAddress 属性を使用します。この属性を Cisco 属性である IETF-Radius-Framed-IP-Address へマッピングする属性マップを作成します。 認証の間に、ASA はサーバから msRADIUSFramedIPAddress の値を取得し、その値を Cisco 属性であ る IETF-Radius-Framed-IP-Address へマッピングして User1 にスタティック アドレスを提供します。 この例は、IPSec クライアントや SSL VPN クライアント(AnyConnect クライアント 2.x および SSL VPN クライアント)などのフルトンネル クライアントに適用されます。 AD/LDAP サーバ上でユーザ属性を設定するには、次の手順を実行します。 ステップ 1 ユーザ名を右クリックします。 [Properties] ダイアログボックスが表示されます(図 C-6 を参照)。 ステップ 2 [Dialin] タブをクリックして [Assign Static IP Address] チェックボックスをオンにし、IP アドレス 10.1.1.2 を入力します。 図 C-6 ステップ 3 スタティック IP アドレスの割り当て ステップ 1 に示した LDAP コンフィギュレーションの属性マップを作成します。 この例では、[Static Address] フィールドで使用された AD 属性である msRADIUSFramedIPAddress を、Cisco 属性である IETF-Radius-Framed-IP-Address にマッピングします。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-20 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 hostname(config)# ldap attribute-map static_address hostname(config-ldap-attribute-map)# map-name msRADIUSFramedIPAddress IETF-Radius-Framed-IP-Address ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モー ドを開始し、ステップ 3 で作成した static_address 属性マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map static_address ステップ 5 vpn-address-assigment コマンドが AAA を指定するように設定されているかどうかを、show run all vpn-addr-assign コマンドでコンフィギュレーションのこの部分を表示して確認します。 hostname(config)# show run all vpn-addr-assign vpn-addr-assign aaa << Make sure this is configured >> no vpn-addr-assign dhcp vpn-addr-assign local hostname(config)# ステップ 6 ASA と AnyConnect クライアントとの接続を確立します。次のことを確認します。 • バナーがクライアントレス接続と同じシーケンスで受信されている(図 C-7 を参照)。 • ユーザが、サーバで設定され、ASA にマッピングされた IP アドレスを受信している(図 C-8 を参 照)。 図 C-7 AnyConnect セッションのバナーの確認 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-21 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-8 ステップ 7 確立された AnyConnect セッション show vpn-sessiondb svc コマンドを使用すると、セッションの詳細を表示して、割り当てられたアド レスを確認できます。 hostname# show vpn-sessiondb svc Session Type: SVC Username : web1 Index : 31 Assigned IP : 10.1.1.2 Public IP : 10.86.181.70 Protocol : Clientless SSL-Tunnel DTLS-Tunnel Encryption : RC4 AES128 Hashing : SHA1 Bytes Tx : 304140 Bytes Rx : 470506 Group Policy : VPN_User_Group Tunnel Group : Group1_TunnelGroup Login Time : 11:13:05 UTC Tue Aug 28 2007 Duration : 0h:01m:48s NAC Result : Unknown VLAN Mapping : N/A VLAN : none ダイヤルインの許可または拒否アクセスの適用 この例では、ユーザが許可するトンネリング プロトコルを指定する LDAP 属性マップを作成します。 [Dialin] タブの [Allow Access] と [Deny Access] の設定を、Cisco 属性である Tunneling-Protocol に マッピングします。Cisco Tunneling-Protocol 属性は、表 C-6 に示されるビットマップ値をサポートし ます。 表 C-6 Cisco Tunneling-Protocol 属性のビットマップ値 値 トンネリング プロトコル 1 PPTP 2 4 L2TP 1 IPsec(IKEv1) Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-22 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 表 C-6 値 8 2 Cisco Tunneling-Protocol 属性のビットマップ値 (続き) トンネリング プロトコル L2TP/IPsec 16 クライアントレス SSL 32 SSL クライアント:AnyConnect または SSL VPN ク ライアント 64 IPsec(IKEv2) 1. IPSec と L2TP over IPSec は同時にサポートされません。そのため、値 4 と 8 は相互排他値となります。 2. 注 1 を参照してください。 この属性を使用して、プロトコルの [Allow Access](TRUE)または [Deny Access](FALSE)の条件 を作成し、ユーザがアクセスを許可される方法を適用します。 この簡単な例では、tunnel-protocol である IPsec/IKEv1(4)をマッピングすることで、Cisco VPN ク ライアントの許可(true)条件を作成できます。また、WebVPN(16)と SVC/AC(32)を値 48 (16+32)としてマッピングし、拒否(false)条件を作成します。これにより、ユーザは IPSec を使用 して ASA に接続できますが、クライアントレス SSL または AnyConnect クライアントを使用すると、 接続は拒否されます。 ダイヤルインの許可または拒否アクセスの適用の他の使用例については、次の URL にある『ASA/PIX: Mapping VPN Clients to VPN Group Policies Through LDAP Configuration Example』テクニカル ノー トを参照してください。 http://www.cisco.com/en/US/products/ps6120/products_configuration_example09186a008089149d.sht ml AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。 ステップ 1 ユーザを右クリックします。 [Properties] ダイアログボックスが表示されます。 ステップ 2 [Dial-in] タブをクリックし、[Allow Access] オプション ボタンをクリックします(図 C-9)。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-23 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-9 (注) ステップ 3 AD/LDAP user1 の [Allow access] [Control access through the Remote Access Policy] オプションを選択した場合、値はサーバか ら返されず、適用される権限は、ASA の内部グループ ポリシー設定に基づきます。 IPSec と AnyConnect の両方の接続を許可し、クライアントレス SSL 接続を拒否する属性マップを作 成します。 この例では tunneling_protocols マップを作成し、[Allow Access] 設定で使用される AD 属性 msNPAllowDialin を map-name コマンドを使用して Cisco 属性 Tunneling-Protocols にマッピングし、 マップ値を map-value コマンドで追加します。 hostname(config)# ldap attribute-map hostname(config-ldap-attribute-map)# hostname(config-ldap-attribute-map)# hostname(config-ldap-attribute-map)# ステップ 4 tunneling_protocols map-name msNPAllowDialin Tunneling-Protocols map-value msNPAllowDialin FALSE 48 map-value msNPAllowDialin TRUE 4 LDAP 属性マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モー ドを開始し、ステップ 2 で作成した tunneling_protocols 属性マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map tunneling_protocols ステップ 5 属性マップが設定したとおりに動作することを確認します。 ステップ 6 クライアント レス SSL、AnyConnect クライアント、および IPSec クライアントを使用して接続を試 みます。クライアントレス SSL と AnyConnect の接続に失敗し、ユーザには、接続の失敗原因が許可 されていない接続メカニズムにあることが通知されます。IPsec クライアントの接続は成功します。こ れは、属性マップに従って IPsec にトンネリング プロトコルが許可されているためです(図 C-10 およ び図 C-11 を参照)。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-24 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-10 クライアントレス ユーザへのログイン拒否メッセージ 図 C-11 AnyConnect クライアント ユーザへのログイン拒否メッセージ ログイン時間と Time-of-Day ルールの適用 この例では、クライアントレス SSL ユーザ(ビジネス パートナー等)がネットワークへアクセスでき る時間を設定して適用します。 この場合は、AD サーバの [Office] フィールドを使用してパートナーの名前を入力します。このフィー ルドは、physicalDeliveryOfficeName 属性を使用します。次に、ASA で属性マップを作成し、その属 性を Cisco 属性である Access-Hours にマッピングします。認証の間に、ASA はサーバから physicalDeliveryOfficeName の値を取得し、それを Access-Hours にマッピングします。 AD/LDAP サーバ上のユーザに属性を設定するには、次の手順を実行します。 ステップ 1 ユーザを選択し、[Properties] を右クリックします。 [Properties] ダイアログボックスが表示されます(図 C-12 を参照)。 ステップ 2 [General] タブをクリックします。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-25 付録 C 許可および認証用の外部サーバの設定 外部 LDAP サーバの設定 図 C-12 ステップ 3 [Active Directory Properties] ダイアログボックス 属性マップを作成します。 この例では、access_hours 属性マップを作成し、[Office] フィールドで使用される AD 属性 physicalDeliveryOfficeName を、Cisco 属性 Access-Hours にマッピングします。 hostname(config)# ldap attribute-map access_hours hostname(config-ldap-attribute-map)# map-name physicalDeliveryOfficeName Access-Hours ステップ 4 LDAP 属性マップを AAA サーバに関連付けます。 AAA サーバ グループ MS_LDAP で、ホスト 10.1.1.2 に aaa-server-host コンフィギュレーション モー ドを開始し、ステップ 3 で作成した access_hours 属性マップを関連付ける例を次に示します。 hostname(config)# aaa-server MS_LDAP host 10.1.1.2 hostname(config-aaa-server-host)# ldap-attribute-map access_hours ステップ 5 各値にサーバで許可された時間範囲を設定します。 次の例では、Partner のアクセス時間が月曜日から金曜日の午前 9 時から午後 5 時に設定されています。 hostname(config)# time-range Partner hostname(config-time-range)# periodic weekdays 09:00 to 17:00 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-26 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 外部 RADIUS サーバの設定 この項では、RADIUS の設定手順の概要を示し、Cisco RADIUS 属性を定義します。説明する項目は 次のとおりです。 • 「RADIUS 設定手順の確認」(P.C-27) • 「ASARADIUS Authorization 属性」(P.C-27) • 「ASA IETF RADIUS Authorization 属性」(P.C-37) • 「RADIUS アカウンティング切断の理由コード」(P.C-38) RADIUS 設定手順の確認 この項では、ASA のユーザ認証および許可をサポートするために必要な RADIUS 設定手順について説 明します。 RADIUS サーバを ASA と相互運用するように設定するには、次の手順を実行します。 ステップ 1 ASA の属性を RADIUS サーバにロードします。属性をロードするために使用する方法は、使用する RADIUS サーバのタイプによって異なります。 • Cisco ACS を使用している場合:サーバには、これらの属性がすでに統合されています。したがっ て、この手順をスキップできます。 • FUNK RADIUS サーバを使用している場合:シスコは、ASA の属性がすべて含まれるディクショ ナリ ファイルを提供しています。このディクショナリ ファイル cisco3k.dct は、Cisco.com の Cisco Download Software Center または ASA の CD-ROM から入手してください。ディクショナ リ ファイルをサーバにロードします。 :ASA の各属性 • 他のベンダーの RADIUS サーバ(Microsoft Internet Authentication Service など) を手動で定義する必要があります。属性を定義するには、属性名または番号、タイプ、値、ベン ダー コード(3076)を使用します。ASA の RADIUS 許可属性および値のリストについては、 表 C-7 を参照してください。 ステップ 2 権限および属性を持つユーザまたはグループをセットアップし、IPSec または SSL トンネルの確立時 に送信します。 ASARADIUS Authorization 属性 許可では、権限または属性を使用するプロセスを参照します。認証サーバとして定義されている RADIUS サーバは、権限または属性が設定されている場合はこれらを使用します。これらの属性のベ ンダー ID は 3076 です。 表 C-7 に、ユーザ許可に使用でき、ASA がサポートしている使用可能な RADIUS 属性の一覧を示し ます。 (注) RADIUS 属性名には、cVPN3000 プレフィックスは含まれていません。Cisco Secure ACS 4.x は、こ の新しい名前をサポートしますが、4.0 以前の ACS の属性名にはまだ cVPN3000 プレフィックスが含 まれています。ASA アプライアンスは、属性名ではなく数値の属性 ID に基づいて、RADIUS 属性を 使用します。LDAP 属性は、ID ではなく属性名で使用します。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-27 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 に示された属性は、属性番号 146、150、151 および 152 を除いて、RADIUS サーバから ASA に送信された送信されるダウン ストリーム属性です。これらの属性番号は、ASA から RADIUS サー バに送信されるアップストリームの属性です。RADIUS 属性 146 および 150 は、認証および許可の要 求の場合に ASA から RADIUS サーバに送信されます。前述の 4 つの属性はすべて、アカウンティン グ開始、中間アップデート、および終了の要求の場合に から RADIUS サーバに送信されます。ASA アップストリーム RADIUS 属性 146、150、151、および 152 は バージョン 8.4.3 で導入されました。 ASA Cisco ACS 5x および Cisco ISE は、ASA バージョン 9.0 の RADIUS 認証を使用する IP アドレスの割 り当ての IPv6 Framed IP アドレスはサポートされません。 表 C-7 ASA でサポートされる RADIUS 属性と値 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 Access-Hours Y Y Y 1 String シング 時間範囲の名前 ル (Business-hours など) Simultaneous-Logins Y Y Y 2 Integer シング ル 0 ~ 2147483647 Primary-DNS Y Y Y 5 String シング ル IP アドレス Secondary-DNS Y Y Y 6 String シング ル IP アドレス Primary-WINS Y Y Y 7 String シング ル IP アドレス Secondary-WINS Y Y Y 8 String シング ル IP アドレス 9 Integer シング ル 未使用 11 Integer シング ル 1 = PPTP 2 = L2TP 4 = IPSec(IKEv1) 8 = L2TP/IPSec 16 = WebVPN. 32 = SVC 64 = IPsec(IKEv2) 8 および 4 は相互排他値 (0 ~ 11、16 ~ 27、32 ~ 43、 48 ~ 59 は有効値)。 12 String シング ル セキュリティ アソシエーショ ンの名前 SEP-Card-Assignment Tunneling-Protocols Y IPsec-Sec-Association Y Y Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-28 Y 属性 説明または値 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 IPsec-Authentication Y 13 Integer シング ル 0 = なし 1 = RADIUS 2 = LDAP(許可のみ) 3 = NT ドメイン 4 = SDI 5 = 内部 6 = RADIUS での Expiry 7 = Kerberos/Active Directory Banner1 Y 15 String シング ル Cisco VPN リモート アクセス セッション(IPsec IKEv1、 AnyConnect SSL-TLS/DTLS/IKEv2、およ びクライアントレス SSL)の場 Y Y 属性 説明または値 合に表示されるバナー文字列 IPsec-Allow-Passwd-Store Y Y Y 16 Boolean シング ル Use-Client-Address Y 17 Boolean シング ル PPTP-Encryption Y 20 Integer シング ル 0 = ディセーブル 1 = イネーブル 0 = ディセーブル 1 = イネーブル ビットマップ: 1 = 暗号化が必要 2 =40 ビット 4 =128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ス テートレスが必要 L2TP-Encryption Y 21 Integer シング ル ビットマップ: 1 = 暗号化が必要 2 =40 ビット 4 =128 ビット 8 = ステートレスが必要 15 = 40/128 ビットで暗号化 / ス テートレスが必要 Group-Policy Y Y 25 String シング ル リモート アクセス VPN セッ ションのグループ ポリシーを 設定します。バージョン 8.2 以 降では、IETF-Radius-Class の 代わりにこの属性を使用しま す。次の 3 つの形式のいずれか を使用できます。 • グループ ポリシー名 • OU= グループ ポリシー名 • OU= グループ ポリシー名 ; Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-29 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 IPsec-Split-Tunnel-List Y Y Y 27 String シング ル スプリット トンネルの包含リ ストを記述したネットワークま たはアクセス リストの名前を 指定します。 IPsec-Default-Domain Y Y Y 28 String シング ル クライアントに送信する 1 つの デフォルト ドメイン名を指定 します(1 ~ 255 文字)。 IPsec-Split-DNS-Names Y Y Y 29 String シング ル クライアントに送信するセカン ダリ ドメイン名のリストを指 定します(1 ~ 255 文字)。 IPsec-Tunnel-Type Y Y Y 30 Integer シング ル 1 = LAN-to-LAN 2 = リモート アクセス IPsec-Mode-Config Y Y Y 31 Boolean シング 属性 ル IPsec-User-Group-Lock Y 33 Boolean シング ル IPsec-Over-UDP Y Y Y 34 Boolean シング 説明または値 0 = ディセーブル 1 = イネーブル 0 = ディセーブル 1 = イネーブル ル 0 = ディセーブル 1 = イネーブル IPsec-Over-UDP-Port Y Y Y 35 Integer シング ル 4001 ~ 49151。デフォルトは 10000 です。 Banner2 Y Y Y 36 String シング ル Cisco VPN リモート アクセス セッション(IPsec IKEv1、 AnyConnect SSL-TLS/DTLS/IKEv2、およ びクライアントレス SSL)の場 合に表示されるバナー文字列。 Banner2 文字列は、Banner1 文 字列に連結されます(設定され ている場合)。 PPTP-MPPC-Compression Y 37 Integer シング ル 0 = ディセーブル 1 = イネーブル L2TP-MPPC-Compression Y 38 Integer シング ル 0 = ディセーブル 1 = イネーブル IPsec-IP-Compression Y Y Y 39 Integer シング ル 0 = ディセーブル 1 = イネーブル IPsec-IKE-Peer-ID-Check Y Y Y 40 Integer シング ル 1 = 必須 2 = ピア証明書でサポートされ る場合 3 = チェックしない IKE-Keep-Alives Y Y Y 41 Boolean シング ル Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-30 0 = ディセーブル 1 = イネーブル 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 IPsec-Auth-On-Rekey Y 42 Boolean シング Y Y 属性 ル Required-Client- Firewall-Vendor-Code Y Y Y 45 Integer シング ル 説明または値 0 = ディセーブル 1 = イネーブル 1 = シスコ(Cisco Integrated Client を使用) 2 = Zone Labs 3 = NetworkICE 4 = Sygate 5 = シスコ(Cisco Intrusion Prevention Security Agent を使 用) Required-Client-Firewall-Product-Code Y Y Y 46 Integer シング ル シスコ製品: 1 = Cisco Intrusion Prevention Security Agent または Cisco Integrated Client(CIC) Zone Labs 製品: 1 = Zone Alarm 2 = Zone AlarmPro 3 = Zone Labs Integrity NetworkICE 製品: 1 = BlackIce Defender/Agent Sygate 製品: 1 = Personal Firewall 2 = Personal Firewall Pro 3 = Security Agent Required-Client-Firewall-Description Y Y Y 47 String Require-HW-Client-Auth Y Y Y 48 Boolean シング シング ル String ル 0 = ディセーブル 1 = イネーブル Required-Individual-User-Auth Y Y Y 49 Integer シング ル 0 = ディセーブル 1 = イネーブル Authenticated-User-Idle-Timeout Y Y Y 50 Integer シング ル 1 ~ 35791394 分 Cisco-IP-Phone-Bypass Y Y Y 51 Integer シング ル 0 = ディセーブル 1 = イネーブル IPsec-Split-Tunneling-Policy Y Y Y 55 Integer シング ル し 0 = スプリット トンネリングな 1 = スプリット トンネリング 2 = ローカル LAN を許可 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-31 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 IPsec-Required-Client-Firewall-Capability Y 56 Integer Y Y 属性 シング ル 説明または値 0 = なし 1 = リモート FW Are-You-There(AYT)で定義 されているポリシー 2 = Policy pushed CPP 4 = サーバからのポリシー IPsec-Client-Firewall-Filter-Name Y IPsec-Client-Firewall-Filter-Optional Y Y IPsec-Backup-Servers Y Y 57 String シング ル クライアントにファイアウォー ル ポリシーとして配信する フィルタの名前を指定します。 Y 58 Integer シング ル 0 = 必須 1 = オプション Y 59 String シング ル 1 = クライアントが設定したリ ストを使用する 2 = クライアント リストをディ セーブルにして消去する 3 = バックアップ サーバ リスト を使用する IPsec-Backup-Server-List Y Y Y 60 String シング ル サーバ アドレス(スペース区 切り) DHCP-Network-Scope Y Y Y 61 String シング ル IP アドレス Intercept-DHCP-Configure-Msg Y Y Y 62 Boolean シング ル MS-Client-Subnet-Mask Y Y Y 63 Boolean シング 0 = ディセーブル 1 = イネーブル IP アドレス ル Allow-Network-Extension-Mode Y Y Y 64 Boolean シング ル Authorization-Type Y Y Authorization-Required Y Authorization-DN-Field Y Y IKE-KeepAlive-Confidence-Interval Y Y WebVPN-Content-Filter-Parameters Y Y Y 0 = ディセーブル 1 = イネーブル 65 Integer シング ル 0 = なし 1 = RADIUS 2 = LDAP 66 Integer シング ル 0 = しない 1 = する Y 67 String シング ル 有効な値:UID、OU、O、 CN、L、SP、C、EA、T、N、 GN、SN、I、GENQ、DNQ、 SER、use-entire-name Y 68 Integer シング ル 10 ~ 300 秒 69 Integer シング ル 1 = Java ActiveX 2 = Java スクリプト 4 = イメージ 8 = イメージに含まれるクッ キー Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-32 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 説明または値 属性 WebVPN-URL-List Y 71 String シング ル URL リスト名 WebVPN-Port-Forward-List Y 72 String シング ル ポート転送リスト名 WebVPN-Access-List Y 73 String シング ル アクセス リスト名 75 Integer シング ル 76 String 77 String Cisco-LEAP-Bypass Y Y WebVPN-Homepage Y Y Client-Type-Version-Limiting Y Y Y 0 = ディセーブル 1 = イネーブル シング URL ル (http://example-example.com など) WebVPN-Port-Forwarding-Name Y Y Y 79 String シング ル IPsec VPN のバージョン番号を 示す文字列 シング 名前の文字列 ル (「Corporate-Apps」など)。 このテキストでクライアントレ ス ポータル ホームページのデ フォルト文字列「Application Access」が置き換えられます。 IE-Proxy-Server Y 80 String シング ル IP アドレス IE-Proxy-Server-Policy Y 81 Integer シング ル 1 = 変更なし 2 = プロキシなし 3 = 自動検出 4 = コンセントレータ設定を使 IE-Proxy-Exception-List Y 82 String シング ル 改行(\n)区切りの DNS ドメ インのリスト IE-Proxy-Bypass-Local Y 83 Integer シング ル 0 = なし 1 = ローカル IKE-Keepalive-Retry-Interval Y 用する Y Y 84 Integer シング ル 2 ~ 10 秒 Tunnel-Group-Lock Y Y 85 String シング ル トンネル グループの名前また は「none」 Access-List-Inbound Y Y 86 String シング ル アクセス リスト ID Access-List-Outbound Y Y 87 String シング ル アクセス リスト ID Y Y 88 Boolean シング Perfect-Forward-Secrecy-Enable Y ル 0 = しない 1 = する Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-33 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 NAC-Enable Y 89 Integer シング ル 0 = しない 1 = する NAC-Status-Query-Timer Y 90 Integer シング ル 30 ~ 1800 秒 NAC-Revalidation-Timer Y 91 Integer シング ル 300 ~ 86400 秒 NAC-Default-ACL Y 92 String WebVPN-URL-Entry-Enable Y Y 93 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-File-Access-Enable Y Y 94 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-Entry-Enable Y Y 95 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-File-Server-Browsing-Enable Y Y 96 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding-Enable Y Y 97 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Outlook-Exchange-Proxy-Enable Y Y 98 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Port-Forwarding-HTTP-Proxy Y Y 99 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Auto-Applet-Download-Enable Y Y 100 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Citrix-Metaframe-Enable Y Y 101 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-Apply-ACL Y Y 102 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-Enable Y Y 103 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-Required Y Y 104 Integer シング ル 0 = ディセーブル 1 = イネーブル WebVPN-SSL-VPN-Client-KeepInstallation Y Y 105 Integer シング ル 0 = ディセーブル 1 = イネーブル SVC-Keepalive Y Y 107 Integer シング ル 0 = オフ 15 ~ 600 秒 SVC-DPD-Interval-Client Y Y 108 Integer シング ル 0 = オフ 5 ~ 3600 秒 SVC-DPD-Interval-Gateway Y Y 109 Integer シング ル 0 = オフ 5 ~ 3600 秒 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-34 属性 説明または値 アクセス リスト 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) 属性名 VPN 3000 ASA PIX No. シング ルまた 構文 / タ はマル イプ チ値 属性 説明または値 SVC-Rekey-Time Y 110 Integer シング ル 0 = ディセーブル 1 ~ 10080 分 WebVPN-Deny-Message Y 116 String シング ル 有効な文字列(500 文字以内) Extended-Authentication-On-Rekey Y 122 Integer シング ル SVC-DTLS Y 123 Integer シング ル 0 = ディセーブル 1 = イネーブル 0 = False 1 = True SVC-MTU Y 125 Integer シング ル MTU 値 256 ~ 1406 バイト SVC-Modules Y 127 String シング ル 文字列(モジュールの名前) SVC-Profiles Y 128 String シング ル 文字列(プロファイルの名前) SVC-Ask Y 131 String シング ル 0 = ディセーブル 1 = イネーブル 3 = デフォルト サービスをイ Y ネーブルにする 5 = デフォルト クライアントレ スをイネーブルにする (2 と 4 は使用しない) SVC-Ask-Timeout Y 132 Integer シング ル 5 ~ 120 秒 IE-Proxy-PAC-URL Y 133 String シング ル PAC アドレス文字列 135 Boolean シング Strip-Realm Y Y Y ル 0 = ディセーブル 1 = イネーブル Smart-Tunnel Y 136 String シング ル スマート トンネルの名前 WebVPN-ActiveX-Relay Y 137 Integer シング ル 0 = ディセーブル Otherwise = イネーブル Smart-Tunnel-Auto Y 138 Integer シング ル 0 = ディセーブル 1 = イネーブル 2 = 自動スタート Smart-Tunnel-Auto-Signon-Enable Y 139 String シング ル ドメイン名が付加された Smart Tunnel Auto Signon リストの名 前 VLAN Y 140 Integer シング ル 0 ~ 4094 NAC-Settings Y 141 String シング ル NAC ポリシーの名前 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-35 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) VPN 3000 ASA PIX 属性名 Member-Of Y Y No. シング ルまた 構文 / タ はマル イプ チ値 説明または値 145 String カンマ区切りの文字列。例: 属性 シング ル Engineering, Sales ダイナミック アクセス ポリ シーで使用できる管理属性。グ ループ ポリシーは設定されま せん。 Tunnel Group Name Y Y 146 String シング ル 1 ~ 253 文字 Client Type Y Y 150 Integer シング ル 1 = Cisco VPN Client(IKEv1) 2 = AnyConnect Client SSL VPN 3 = クライアントレス SSL VPN 4 = Cut-Through-Proxy 5 = L2TP/IPsec SSL VPN 6 = AnyConnect Client IPSec VPN(IKEv2) Session Type Y Y 151 Integer シング ル 0 = なし 1 = AnyConnect Client SSL VPN 2 = AnyConnect Client IPSec VPN(IKEv2) 3 = クライアントレス SSL VPN 4 = クライアントレス電子メー ル プロキシ 5 = Cisco VPN Client(IKEv1) 6 = IKEv1 LAN-LAN 7 = IKEv2 LAN-LAN 8 = VPN ロード バランシング Session Subtype Y Y 152 Integer シング ル 0 = なし 1 = クライアントレス 2 = クライアント 3 = クライアントのみ サブセッション タイプは、 セッション タイプ(151)属性 が 1、2、3、4 のいずれかであ る場合にだけ適用されます。 Address-Pools Y IPv6-Address-Pools IPv6-VPN-Filter 217 String シング ル IP ローカル プールの名前 Y 218 String シング ル IP ローカル プール IPv6 の名前 Y 219 String シング ル ACL 値 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-36 Y 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-7 ASA でサポートされる RADIUS 属性と値 (続き) VPN 3000 ASA PIX 属性名 Privilege-Level Y WebVPN-Macro-Value1 Y Y No. シング ルまた 構文 / タ はマル イプ チ値 説明または値 220 Integer シング ル 0 ~ 15 の整数。 223 String シング ル 属性 無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照し てください。 http://supportwiki.cisco.com/Vi ewWiki/index.php/Cisco_ASA _5500_SSL_VPN_Deployment _Guide%2C_Version_8.x WebVPN-Macro-Value2 Y 224 String シング ル 無制限。例については、次の URL にある『SSL VPN Deployment Guide』を参照し てください。 http://supportwiki.cisco.com/Vi ewWiki/index.php/Cisco_ASA _5500_SSL_VPN_Deployment _Guide%2C_Version_8.x ASA IETF RADIUS Authorization 属性 表 C-8 に、サポートされている IETF RADIUS 属性を示します。 表 C-8 ASA でサポートされる RADIUS 属性と値 属性名 VPN 3000 ASA PIX No. IETF-Radius-Class Y Y 25 属性 Y シングル 構文 / タ またはマ イプ ルチ値 説明または値 シングル バージョン 8.2.x 以降では、表 C-7 に 記載された Group-Policy 属性(VSA 3076, #25)の使用をお勧めします。 • グループ ポリシー名 • OU= グループ ポリシー名 • OU= グループ ポリシー名 IETF-Radius-Filter-Id Y Y Y 11 String シングル フルトンネルの IPsec クライアント と SSL VPN クライアントのみに適用 される、ASA で定義されたアクセス リスト名 IETF-Radius-Framed-IP-Address Y Y Y n/a String シングル IP アドレス IETF-Radius-Framed-IP-Netmask Y Y Y n/a String シングル IP アドレス マスク IETF-Radius-Idle-Timeout Y Y Y 28 Integer シングル 秒 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-37 付録 C 許可および認証用の外部サーバの設定 外部 RADIUS サーバの設定 表 C-8 ASA でサポートされる RADIUS 属性と値 (続き) IETF-Radius-Service-Type Y Y Y 6 Integer シングル 秒。使用可能なサービス タイプの 値: .Administrative:ユーザは configure プロンプトへのアクセスを許可され ています。 .NAS-Prompt:ユーザは exec プロン プトへのアクセスを許可されていま す。 .remote-access:ユーザはネットワー ク アクセスを許可されています。 IETF-Radius-Session-Timeout Y Y Y 27 Integer シングル 秒 RADIUS アカウンティング切断の理由コード これらのコードは、パケットを送信するときに ASA が切断された場合に返されます。 切断の理由コード ACCT_DISC_USER_REQ = 1 ACCT_DISC_LOST_CARRIER = 2 ACCT_DISC_LOST_SERVICE = 3 ACCT_DISC_IDLE_TIMEOUT = 4 ACCT_DISC_SESS_TIMEOUT = 5 ACCT_DISC_ADMIN_RESET = 6 ACCT_DISC_ADMIN_REBOOT = 7 ACCT_DISC_PORT_ERROR = 8 ACCT_DISC_NAS_ERROR = 9 ACCT_DISC_NAS_REQUEST = 10 ACCT_DISC_NAS_REBOOT = 11 ACCT_DISC_PORT_UNNEEDED = 12 ACCT_DISC_PORT_PREEMPTED = 13 ACCT_DISC_PORT_SUSPENDED = 14 ACCT_DISC_SERV_UNAVAIL = 15 ACCT_DISC_CALLBACK = 16 ACCT_DISC_USER_ERROR = 17 ACCT_DISC_HOST_REQUEST = 18 ACCT_DISC_ADMIN_SHUTDOWN = 19 ACCT_DISC_SA_EXPIRED = 21 ACCT_DISC_MAX_REASONS = 22 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-38 付録 C 許可および認証用の外部サーバの設定 外部 TACACS+ サーバの設定 外部 TACACS+ サーバの設定 ASA は、TACACS+ 属性をサポートします。TACACS+ は、認証、許可、アカウンティングの機能を 分離します。プロトコルでは、必須とオプションの 2 種類の属性をサポートします。サーバとクライア ントの両方で必須属性を解釈できる必要があり、また、必須属性はユーザに適用する必要があります。 オプションの属性は、解釈または使用できることも、できないこともあります。 (注) TACACS+ 属性を使用するには、NAS で AAA サービスをイネーブルにしておいてください。 表 C-9 に、カットスルー プロキシ接続に対してサポートされている TACACS+ 許可応答属性の一覧を 示します。表 C-10 に、サポートされている TACACS+ アカウンティング属性の一覧を示します。 表 C-9 属性 . サポートされる TACACS+ 許可応答属性 説明 acl 接続に適用する、ローカルで設定済みのアクセス リストを識別します。 idletime 認証済みユーザ セッションが終了する前に許可される非アクティブ時間(分) を示します。 timeout 認証済みユーザ セッションが終了する前に認証クレデンシャルがアクティブな 状態でいる絶対時間(分)を指定します。 表 C-10 サポートされる TACACS+ アカウンティング属性 属性 説明 bytes_in この接続中に転送される入力バイト数を指定します(ストップ レコードのみ)。 bytes_out この接続中に転送される出力バイト数を指定します(ストップ レコードのみ)。 cmd 実行するコマンドを定義します(コマンド アカウンティングのみ)。 disc-cause 切断理由を特定する数字コードを示します(ストップ レコードのみ)。 elapsed_time 接続の経過時間(秒)を定義します(ストップ レコードのみ)。 foreign_ip トンネル接続のクライアントの IP アドレスを指定します。最下位のセキュリティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 local_ip トンネル接続したクライアントの IP アドレスを指定します。最上位のセキュリ ティ インターフェイスでカットスルー プロキシ接続のアドレスを定義します。 NAS port 接続のセッション ID が含まれます。 packs_in この接続中に転送される入力パケット数を指定します。 packs_out この接続中に転送される出力パケット数を指定します。 priv-level コマンド アカウンティング要求に対するユーザの権限レベル、または 1 に設定さ れます。 rem_iddr クライアントの IP アドレスを示します。 service 使用するサービスを指定します。コマンド アカウンティングだけは、常に「シェ ル」に設定されます。 task_id アカウンティング トランザクションに固有のタスク ID を指定します。 username ユーザの名前を示します。 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-39 付録 C 外部 TACACS+ サーバの設定 Cisco ASA シリーズ CLI コンフィギュレーション ガイド C-40 許可および認証用の外部サーバの設定
© Copyright 2024 Paperzz